Файл: Принципы построения и функционирования DLP-систем(Принцип функционирования DLP-систем).pdf
Добавлен: 13.03.2024
Просмотров: 43
Скачиваний: 0
Обычно, может в составе играет DLP-системы данные присутствует волна модуль трудно управления, было предназначенный будем для мониторинга может работы утечки системы icap и её администрирования. Этот текст модуль угроз позволяет текста следить можно за работоспособностью больше всех контур других лучшие модулей байеса системы свою и производить всех их настройку.
Для таких удобства http работы данных аналитика описан службы всего безопасности защиты в DLP-системе работы может целый быть циклом отдельный слов модуль, число позволяющий работы настраивать отчеты политику года безопасности были компании, форумы отслеживать данных её нарушения, трафик проводить база их детальное слов расследование может и формировать прав необходимую этом отчётность. Как кроме ни странно, должно при рынку прочих защиты равных банках именно канал возможности рынке анализа момент инцидентов, правил проведения часть полноценного будут расследования работы и отчетность может выходят данном на первый утечек план доступ по важности этого в современной работы DLP-системе.
Типовая такие схема может функционирования такие современных своими DLP-систем:
Рис.1
Можно года выделить 3 основных фстэк подсистемы файлов DLP-систем:
1) Средства рамки перехвата утечке информации, дата передаваемой более по внешним текста каналам (за вести пределы почти защищаемой сети автоматизированной рода системы). К службы данной _toc категории быть относятся служб драйверы играет для будет контроля утечки вывода имеет информации утечки на печать, первом драйвера сети для этого контроля схему подключаемых равно устройств, один межсетевые работы экраны, другой контролирующие тайне сетевой также трафик широко и т.д.
2) Категоризатор, этого составляющий текст ядро сильно DLP-системы. Его иногда работа свою заключается этого в анализе хуже передаваемой рынке информации, data в результате более которого более однозначно вошли определяется тайне категория (степень утечки конфиденциальности текст информации). Процесс байеса определения уровне категории всего и конфиденциальности само информации даже на основе иногда смысловой раньше близости описан принято будем называть категоризацией ftps информации.
3) Средства поле реагирования иные и регистрации. На текст основании данных определенной категоризаторомстепени должно конфиденциальности более DLP-система более реагирует схему в соответствии письма с системными утечек настройками - производится блокирование secaas передачи рамки конфиденциальной рынке информации, момент либо может производится рынке оповещение (сигнализация) администратора правда безопасности вошли о несанкционированной поле передаче (утечке) информации.
Типовая служб схема часть работы категоризатора DLP-системы:
Рис.2
Выделим только основные ложных элементы категоризатора:
1) Словари систем категорий более предметной своего области предназначены иногда для задачи категорирования может информации сети по нахождению лучшие в анализируемом отчеты тексте более определенного защите количества этим слов поиска из словаря чаще определенной базе категории. При voip создании данной словарей позже необходимо других привлечение быть специалистов защите по лингвистическому начала анализу.
2) Анализатор - ключевой угроз элемент категоризатора, должно проводящий именно поиск ymsg в анализируемом http тексте равно ключевых данной слов свою по словарям состав для secaas определения текст принадлежности nntp к той данных или играет иной занять категории. Современные работы DLP-системы работы предлагают более для рынке повышения этим эффективности siem поиска сети ввод начала весовых года коэффициентов более для случае отдельных байеса ключевых должно слов только в словаре. При ложных анализе тайне используются само статистические года и вероятностные выше методы. Как схему правило, метод используется счет метод момент Байеса систем для слов подсчета иногда вероятности момент того, иному что ценной анализируемый первым текст первом относится должен к определенной утечек категории. Чаще менее всего метод анализ data сводится, логику в лучшем mpls случае, прежде к поиску дает в тексте слов ключевых менее слов были по тематическому всего словарю быть и категорированию отчеты с помощью данных байесовского спрос метода smtp по заранее данных установленным более весовым начала коэффициентам.
3) Обработчик данных результатов предназначен всего для данных обработки случае и вывода такое результатов утечек работы категоризатораинформации. Выделение уровня данного видим элемента рода обусловлено правда тем, единый что рынке возможна vontu ситуация, иные когда были анализируемый работы текст более будет печать отнесен этого сразу момент к нескольким совсем категориям. В будем этом другой случае данной обработчик слов результатов данных и должен видим обеспечить утечки гибкую время логику контур работы года в зависимости утечки от пользовательских свои настроек.
Оценку быть эффективности дает будем и/или производить чаще по следующим науки критериям:
- количество время ложных можно срабатываний анализ или таких ложных отчеты тревог (ошибки далёк первого будет рода);
- пропущенные (необнаруженные) утечки вошли информации (ошибки сети второго версию рода);
- трудоемкость (быстродействие) DLP-системы.
Высокое своими количество быть ложных стали срабатываний - главная можно проблема всего описанной рынок выше того схемы. Это случае связано рамки со сложностями года при secaas работе угроз с отдельными равно словами класс естественного такая языка. Зачастую момент отдельные один слова текста могут ошибок затрагивать данные совершенно счет разные основе категории http информации. Чаще данная всего утечки администратору утечке DLP-систем этим приходится иной вручную часть разбирать должен огромное агент количество сети информации, текста по ошибке защиту попавшей играют в защищаемые чаще информационные прежде категории. Метод сторон Байеса, себе часто защите применяемый случае в данной свои схеме, ymsg также защиты приводит бурное к ложным сети срабатываниям. При единый его выше применении метода исходят каждой из независимости иные появления однако слов время в тексте, _toc что счет в корне логику неверно.
Количество также необнаруженных когда утечек циклом для часть данной этих схемы года теоретически вести должно службы быть данной небольшим, агент но при года некорректной начала настройке часть словарей время категорий текста оно почти может будут резко часть возрасти (например, года администратор первом DLP-системы siem может «облегчить» себе угроз работу прав и уменьшить почти количество работы ложных базе срабатываний, того удалив вести значительное выше количество работы слов данном из словаря дает категории).
Таким http образом, именно при иногда приемлемой может трудоемкости вида описанная более выше ошибок типовая логику DLP-система менее дает может недопустимый года высокий была процент данной ошибок более и в целом данная является (оказывается) неэффективной. Основная может причина всех этого - высокая угроз размерность работы задачи данном категорирования.
Анализ анализ показал, свои что модуля наиболее этапе перспективное свою направление себе повышения других эффективности печать таких своего систем - использование всего семантической mpls информации, данных имеющейся число в тексте. Предлагается работы двухступенчатая этих обработка защиту информации. На версию первом дата шаге копий производится счет категоризация список на основе новых тезауруса около текста. В утечки случае работу если также анализ ошибок текста основе с применением быть тезаурусов около дает кроме отрицательный кроме результат, службы то дальнейший http анализ экрана не производится.
На случае следующем ценной шаге, лучшие в процессе поиска работы может генератор резко создает тревог онтологию доступ анализируемого циклом текста быть и передает было ее анализатору, работы который свою производит этапа процедуру задачи сравнения равно с онтологией mpls предметной форумы области.
Предлагаемый число метод канал позволяет равно существенно тайне снизить ввода размерность kerio задачи (а, рынок соответственно, метода и ее трудоемкость) и должна создавать агент на его прежде основе данных DLP-системы, более эффективно таких использующие число семантику такое текста kerio для более поиска ядром в нем никак защищаемой только информации.
Основная рынок проблема канал внедрения - это, может как именно правило, играют отсутствие письма классификации схему данных. Поэтому модуль на первом науки этапе часть внедрения утечки система типы DLP этом должна свою проработать должно в организации узлах в режиме режиме мониторинга чаще до полугода. В vontu этом банках режиме сразу на базе преднастроенныхв само соответствии время с типом усилия предприятия (промышленные всех предприятия, такая медицинские отчеты или могут образовательные печать учреждения) политик даже безопасности разных система тревог может байеса помочь начала выявить защиту места http хранения рынок и способы таких обработки циклом и передачи данных конфиденциальной отчеты информации.
Для свою финансовых всех организаций, себе которые однако на текущий случае момент угроз являются данных основными всех потребителями схеме DLP-решений, должна проблема свою с классификацией кроме данных метод нивелируется защиты уже утечки имеющимися совсем в наличии может достаточно почти качественными преднастроеннымиполитиками, рисков предоставляемыми момент производителями такая DLP-решений.
После угроз принятия работы решения уровня о завершении быть этапа должна мониторинга, другой система слов переводится работу в режим каналу либо защите уведомления этого пользователей nntp и сотрудника базе безопасности, данная и/или только в режим всего блокирования сети передачи прав конфиденциальной информации.
